Clinical Trial Media, Inc. („CTM”)
Polityka prywatności
Data wejścia w życie: 22 stycznia 2021 r.
WPROWADZENIE
CTM zobowiązuje się szanować i chronić prywatność użytkownika.
Niniejsza polityka prywatności zawiera informacje o tym, w jaki sposób dbamy o dane osobowe użytkownika, w jaki sposób będziemy wykorzystywać dane osobowe oraz jakie są prawa użytkownika w zakresie prywatności i jak przepisy prawa chronią użytkownika.
Polityka prywatności określa nasze podejście do ochrony danych osobowych na całym świecie. Mamy jednak świadomość, że zastosowanie będą miały różne jurysdykcje i systemy prawne:
- W Stanach Zjednoczonych nadzór nad przestrzeganiem prawa przez naszą spółkę w zakresie przepisów o ochronie danych osobowych sprawuje Federalna Komisja Handlu. Jeśli użytkownik nie zgadza się z warunkami niniejszej polityki prywatności, nie powinien korzystać z witryny internetowej ani usług CTM.
- W pozostałych krajach obowiązują różne przepisy prawne; dane osobowe będziemy wykorzystywać i chronić zwłaszcza w sposób zgodny z przepisami Europejskiego Obszaru Gospodarczego („EOG”), gdzie przyjęto Ogólne rozporządzenie o ochronie danych („RODO”), oraz Wielkiej Brytanii, gdzie przyjęto własną wersję RODO. Na terenie EOG lub Wielkiej Brytanii nadzór nad przestrzeganiem prawa przez naszą firmę będą sprawować właściwe krajowe organy nadzorcze w odpowiednim kraju. Jeśli użytkownik nie zgadza się z warunkami niniejszej polityki prywatności, nie powinien korzystać z witryny internetowej ani usług CTM.
SPIS TREŚCI
- CEL
- DANE GROMADZONE NA TEMAT UŻYTKOWNIKA
- W JAKI SPOSÓB GROMADZONE SĄ DANE OSOBOWE UŻYTKOWNIKA
- W JAKI SPOSÓB WYKORZYSTUJEMY I UJAWNIAMY DANE OSOBOWE UŻYTKOWNIKA
- PRZEKAZYWANIE DANYCH ZA GRANICĘ
- BEZPIECZEŃSTWO DANYCH
- PRZECHOWYWANIE DANYCH
- PRAWA UŻYTKOWNIKA DO PRYWATNOŚCI DANYCH NA MOCY RODO I BRYTYJSKICH PRZEPISÓW O OCHRONIE PRYWATNOŚCI
- PRAWA DO OCHRONY PRYWATNOŚCI DANYCH W STANIE KALIFORNIA
- DEFINICJE
1. CEL
W niniejszej polityce prywatności opisano, w jaki sposób CTM gromadzi, wykorzystuje, przetwarza i chroni dane osobowe użytkownika oraz informuje o dostępnych opcjach w zakresie wyboru danych osobowych i zarządzania nimi.
Należy przeczytać nie tylko niniejszą politykę prywatności, ale również inne informacje dotyczące ochrony prywatności lub rzetelnego przetwarzania danych, które możemy dostarczyć przy konkretnych okazjach, kiedy będziemy gromadzić lub przetwarzać dane osobowe użytkownika. Wówczas użytkownik będzie mieć pełną świadomość tego, w jaki sposób wykorzystujemy jego dane. Niniejsza polityka prywatności stanowi uzupełnienie innych informacji i nie zastępuje ich.
1.1 ADMINISTRATOR DANYCH
Niniejsza polityka prywatności została opublikowana w imieniu CTM, więc gdy w niniejszej polityce prywatności pojawiają się słowa „my”, „nas” lub „nasz”, odnoszą się do nas jako podmiotu odpowiedzialnego za przetwarzanie danych użytkownika.
Wyznaczyliśmy inspektora ochrony danych, który jest odpowiedzialny za obsługę zapytań dotyczących niniejszej polityki prywatności. Należy skontaktować się z inspektorem ochrony danych, korzystając z danych do kontaktu wskazanych poniżej, w przypadku ewentualnych pytań dotyczących niniejszej polityki prywatności, a także wniosków o wykonanie swoich praw.
1.2 DANE DO KONTAKTU
Dane do kontaktu w sprawie wniosków w związku z prawem do ochrony prywatności i informacjami o naszych praktykach dotyczących prywatności:
Pełna nazwa podmiotu prawnego: Clinical Trial Media, Inc.
Imię i nazwisko lub tytuł inspektora ochrony danych: Richard Cudmore
Adres e-mail: privacy@clinicaltrialmedia.com
Numer telefonu: 516-470-0720
Adres: 100 Motor Parkway, Suite 528, Hauppauge, NY 11788, USA
URL: https://clinicaltrialmedia.com/request-form/
1.3 SKARGI
Użytkownik może w dowolnym momencie złożyć skargę do właściwego krajowego organu nadzorczego w swoim kraju zamieszkania. Aby dowiedzieć się więcej na temat tego prawa i zlokalizować odpowiedni organ ochrony danych, należy przejść na stronę Komisji Europejskiej (https://ec.europa.eu/info/policies/justice-and-fundamental-rights_pl); użytkownicy z Wielkiej Brytanii powinni przejść na stronę Biura Komisarza ds. Informacji („ICO”) (www.ico.org.uk). Użytkownicy w Stanach Zjednoczonych mogą przekazać swoje wątpliwości do Federalnej Komisji Handlu. Więcej informacji można znaleźć na stronie https://www.ftc.gov/faq/consumer-protection/submit-consumer-complaint-ftc.
Będziemy jednak wdzięczni za możliwość odniesienia się do wątpliwości przed skontaktowaniem się użytkownika z jednym z krajowych organów nadzorczych, dlatego w pierwszej kolejności prosimy o kontakt z nami.
1.4 ZMIANY W POLITYCE PRYWATNOŚCI ORAZ OBOWIĄZEK UŻYTKOWNIKA INFORMOWANIA NAS O ZMIANACH DANYCH OSOBOWYCH
Zastrzegamy sobie prawo do zmiany niniejszej polityki prywatności. Powiadomimy o tym użytkownika poprzez zaktualizowanie niniejszego powiadomienia, dlatego prosimy o regularne sprawdzanie go, szczególnie jeśli użytkownik ciągle korzysta z naszych usług. Ważne jest, aby dane osobowe, które posiadamy na temat użytkownika, były dokładne i aktualne. Prosimy o informowanie nas na bieżąco, jeśli dane osobowe użytkownika ulegną zmianie podczas trwania naszej relacji.
1.5 ZEWNĘTRZNE ŁĄCZA
W tej witrynie internetowej mogą być zamieszczane łącza do witryn internetowych, wtyczek lub aplikacji należących do podmiotów zewnętrznych. Klikanie tych łączy lub aktywacja połączeń może umożliwić podmiotom zewnętrznym gromadzenie lub udostępnianie danych użytkownika. Nie mamy kontroli nad witrynami internetowymi podmiotów zewnętrznych i nie odpowiadamy za obowiązujące u nich zasady zachowania poufności informacji. Zachęcamy, aby po opuszczeniu naszej witryny internetowej zapoznać się z polityką prywatności obowiązującą w każdej odwiedzanej witrynie.
2. DANE GROMADZONE NA TEMAT UŻYTKOWNIKA
Termin „dane osobowe” oznacza wszelkie informacje dotyczące osoby o zidentyfikowanej lub możliwej do zidentyfikowania tożsamości. Nie obejmuje to jednak danych, z których usunięto informacje dotyczące tożsamości (danych zanonimizowanych).
Możemy gromadzić, wykorzystywać, przechowywać i przekazywać różne kategorie danych osobowych na temat użytkownika, które zgrupowaliśmy razem w następujący sposób:
- Dane umożliwiające ustalenie tożsamości obejmują imię, nazwisko panieńskie, nazwisko, nazwę użytkownika lub podobny identyfikator, datę urodzenia i płeć.
- Dane do kontaktu obejmują adres rozliczeniowy, adres dostawy, adres e-mail i numery telefonów.
- Dane finansowe obejmują dane bankowe klientów, dostawców i agentów służące do dokonywania płatności przez nas i na naszą rzecz w związku ze świadczonymi przez nas usługami.
- Dane transakcji obejmują szczegóły dotyczące produktów i usług, które użytkownik otrzymał lub kupił od nas lub podmiotów stowarzyszonych.
- Dane techniczne obejmują adres protokołu internetowego („IP”), dane logowania, rodzaj i wersję przeglądarki, ustawienia strefy czasowej oraz lokalizacji, rodzaje i wersje wtyczek do przeglądarki, system operacyjny i platformę oraz inne technologie na urządzeniach, z których użytkownik korzysta w celu uzyskania dostępu do tej witryny internetowej.
- Dane profilu obejmują nazwę użytkownika i hasło, zakupy lub zamówienia dokonane przez użytkownika, zainteresowania, preferencje, opinie i odpowiedzi na ankiety/kwestionariusze.
- Dane dotyczące użytkowania obejmują informacje o tym, jak użytkownik korzysta z naszej witryny, produktów i usług.
- Dane marketingowe i do komunikacji obejmują preferencje użytkownika dotyczące otrzymywania informacji handlowych od nas lub podmiotów stowarzyszonych.
- Dane zdrowotne obejmują informacje dotyczące dowolnego aspektu zdrowia użytkownika lub konsekwencji uczestnictwa we wszelkich badaniach klinicznych organizowanych przez naszych klientów.
Możemy również gromadzić, wykorzystywać i udostępniać w dowolnym celu dane zagregowane, takie jak ogólne dane statystyczne lub demograficzne. Zagregowane dane mogą pochodzić od danych osobowych, ale zgodnie z prawem nie są traktowane jako takie, ponieważ nie umożliwiają bezpośredniej lub pośredniej identyfikacji tożsamości. Na przykład możemy zagregować dane dotyczące użytkowania, aby obliczyć odsetek użytkowników korzystających z konkretnej funkcji witryny internetowej. Jednak w przypadku skojarzenia lub połączenia danych zagregowanych z danymi osobowymi użytkownika w taki sposób, aby możliwa była bezpośrednia lub pośrednia identyfikacja jego tożsamości, skojarzone dane będą traktowane jak dane osobowe i będą podlegały postanowieniom opisanym w niniejszej polityce prywatności.
Oprócz danych zdrowotnych oraz ogólnobranżowych lub rządowych ankiet/kwestionariuszy, w których jesteśmy zobowiązani wziąć udział, zwykle nie zbieramy żadnych specjalnych kategorii danych osobowych na temat użytkownika (obejmuje to szczegóły dotyczące rasy lub pochodzenia etnicznego, przekonania religijne lub filozoficzne, życie seksualne, orientację seksualną, poglądy polityczne i członkostwo w związkach zawodowych).
2.1 JEŚLI UŻYTKOWNIK NIE PODA DANYCH OSOBOWYCH
W przypadkach, gdy mamy obowiązek zebrania danych osobowych zgodnie z prawem lub zgodnie z Postanowieniami umownymi, a użytkownik nie dostarczy tych danych na żądanie, możemy nie być w stanie wykonać zawartej umowy lub umowy, którą staramy się zawrzeć (na przykład, aby zapewnić użytkownikowi nasze usługi). W takim przypadku być może będziemy musieli anulować nasz produkt lub usługę, ale powiadomimy o tym użytkownika, jeśli tak się stanie.
3. W JAKI SPOSÓB GROMADZONE SĄ DANE OSOBOWE UŻYTKOWNIKA
Używamy różnych metod zbierania opisanych powyżej kategorii danych od użytkownika i na jego temat, takich jak:
- Kontakt bezpośredni. Użytkownik może podać swoje dane osobowe przez wypełnienie formularzy lub kontakt listowny, telefoniczny i e-mailowy lub inny z nami. Obejmuje to dane osobowe podawane, gdy użytkownik:
- ubiega się on-line lub inaczej o nasze usługi lub produkty;
- zawiera umowę, aby otrzymywać nasze usługi; lub
- prosi o wysyłkę materiałów reklamowych.
- Technologie lub kontakty zautomatyzowane. Kiedy użytkownik korzysta z naszej witryny internetowej, możemy automatycznie gromadzić dane techniczne dotyczące sprzętu, korzystania z przeglądarki i nawyków w zakresie przeglądania. Zbieramy te dane osobowe przez korzystanie z plików cookie, plików dziennika i innych tym podobnych technologii. Dotyczące użytkownika dane techniczne możemy również otrzymać, kiedy odwiedzi on inne witryny internetowe, w których zamieszczone są nasze pliki cookie. Zagregowane dane dają „widok makro” schematu ruchu odwiedzających oraz wgląd w to, które sekcje użytkownik witryny odwiedza najczęściej. Korzystamy z tych informacji, aby określić, jaka technologia jest dostępna na komputerach użytkowników, aby mogła im lepiej służyć, wykorzystując bardziej zaawansowane technologie (np. Macromedia Flash). Żadne z tych informacji nie są połączone z danymi osobowymi.
- Od odwiedzających naszą witrynę pasywnie zbieramy następujące informacje, które rejestrujemy:
- rodzaj przeglądarki,
- adres IP,
- nazwa domeny,
- godzina dostępu,
- system operacyjny.
- Od odwiedzających naszą witrynę pasywnie zbieramy następujące informacje, które rejestrujemy:
- Podmioty zewnętrzne i źródła publiczne. Możemy otrzymywać dane osobowe użytkownika od różnych podmiotów trzecich i ze źródeł publicznych, jak określono poniżej:
- Możemy otrzymywać dane techniczne od następujących podmiotów:
- dostawcy usług analitycznych, jak Google,
- sieci reklamowe,
- dostawcy usług wyszukiwania,
- portale.
- Dane do kontaktu i transakcyjne od dostawców usług technicznych, płatniczych i transportowych.
- Dane identyfikacyjne i do kontaktu od brokerów lub agregatorów danych.
- Możemy otrzymywać dane techniczne od następujących podmiotów:
4. W JAKI SPOSÓB WYKORZYSTUJEMY I UJAWNIAMY DANE OSOBOWE UŻYTKOWNIKA
Dane osobowe użytkownika będziemy wykorzystywać tylko wtedy, gdy zezwala na to prawo. Najczęściej będziemy wykorzystywać dane osobowe użytkownika w następujących okolicznościach:
- gdy jest to konieczne do realizacji umowy, którą mamy zamiar zawrzeć lub którą zawarliśmy z użytkownikiem lub spełnienia innych zobowiązań prawnych;
- gdy jest to niezbędne do realizacji naszych uzasadnionych celów (lub celów podmiotu zewnętrznego), a interesy i podstawowe prawa użytkownika nie okażą się nadrzędne wobec tych uzasadnionych celów (obowiązuje na terenie EOG i Wielkiej Brytanii);
- gdy musimy przestrzegać zobowiązań prawnych lub regulacyjnych.
Na terenie EOG, w związku z wysyłaniem do użytkownika bezpośrednich wiadomości marketingowych za pośrednictwem wiadomości e-mail lub SMS-ów, zrobimy to tylko wtedy, gdy (i) mamy wyraźną zgodę użytkownika lub (ii) jest on istniejącym klientem. Użytkownik ma prawo wycofać zgodę na otrzymywanie informacji marketingowych w dowolnym momencie, kontaktując się z nami.
4.1 CELE, DO KTÓRYCH WYKORZYSTUJEMY DANE OSOBOWE UŻYTKOWNIKA
Poniżej przedstawiamy w formie tabeli opis sposobu, w jaki planujemy wykorzystywać dane osobowe użytkownika, oraz podstawę prawną, na jakiej się opieramy. W stosownych przypadkach określiliśmy również nasz uzasadniony interes.
Należy pamiętać, że możemy przetwarzać dane osobowe użytkownika na mocy więcej niż jednej podstawy prawnej, w zależności od konkretnego celu, w jakim te dane wykorzystujemy. Prosimy o kontakt w razie chęci uzyskania szczegółowych informacji na temat konkretnej podstawy prawnej, na której się opieramy w celu przetwarzania danych osobowych użytkownika, jeżeli w poniższej tabeli podano więcej niż jedną podstawę.
Cel/działanie | Kategoria danych | Podstawa prawna przetwarzania, w tym podstawa prawnie uzasadnionego interesu |
Rejestracja użytkownika jako nowego klienta | (a) Dane tożsamości (b) Dane do kontaktu | Realizacja umowy z użytkownikiem |
Przetwarzanie i dostarczanie usług lub wykonywanie zobowiązań umownych na rzecz użytkownika, w tym pobieranie i odzyskiwanie należnych nam kwot pieniężnych | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane finansowe (d) Dane transakcyjne (e) Dane marketingowe i do kontaktu | (a) Realizacja umowy z użytkownikiem (b) Niezbędne dla naszych uzasadnionych interesów (w celu odzyskania należnych nam środków) |
Zarządzanie relacją z użytkownikiem, co obejmuje: (a) Informowanie użytkownika o zmianach regulaminu lub polityki prywatności (b) Prośby o pozostawienie recenzji lub wypełnienie ankiety/kwestionariusza | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane profilowe (d) Dane marketingowe i do komunikacji | (a) Realizacja umowy z użytkownikiem (b) Niezbędne do wypełnienia obowiązku prawnego (c) Niezbędne dla naszych uzasadnionych interesów (aby aktualizować dokumentację i badać, w jaki sposób klienci korzystają z naszych produktów/usług) |
Umożliwienie wypełnienia ankiety/kwestionariusza | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane profilowe (d) Dane dotyczące użytkowania (e) Dane marketingowe i do kontaktu | (a) Realizacja umowy z użytkownikiem (b) Niezbędne dla naszych uzasadnionych interesów (aby badać, w jaki sposób klienci korzystają z naszych produktów/usług, by rozwijać je i naszą działalność) |
Ocena, czy użytkownik jest uprawniony/kwalifikuje się do wzięcia udziału w konkretnym badaniu klinicznym, powiązanym badaniu klinicznym lub programie wsparcia klinicznego przeprowadzanego przez naszych klientów | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane zdrowotne | (a) Niezbędne dla naszych uzasadnionych interesów w celu opracowania naszych produktów/usług (b) Niezbędne w celu wypełnienia zobowiązań umownych z naszymi klientami końcowymi |
Zarządzanie i ochrona firmy i tej witryny internetowej (w tym rozwiązywanie problemów, analiza danych, testowanie, konserwacja systemu, wsparcie, raportowanie i hosting danych) | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane techniczne | (a) Niezbędne dla naszych uzasadnionych interesów (do prowadzenia działalności, świadczenia usług administracyjnych i informatycznych, bezpieczeństwa sieci, zapobiegania oszustwom oraz w kontekście reorganizacji działalności lub restrukturyzacji grupy) (b) Niezbędne do wypełnienia obowiązku prawnego (c) Niezbędne do rozwiązywania sporów |
Dostarczanie użytkownikom odpowiednich treści i reklam internetowych oraz pomiar lub zrozumienie skuteczności reklam, które jemu dostarczamy | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane profilowe (d) Dane dotyczące użytkowania (e) Dane marketingowe i do kontaktu (f) Dane techniczne | Niezbędne dla naszych uzasadnionych interesów (aby badać, w jaki sposób klienci korzystają z naszych produktów/usług, by rozwijać je i naszą działalność oraz opracowywać strategię marketingową) |
Korzystanie z analizy danych w celu ulepszenia naszej witryny internetowej, produktów/usług, działań marketingowych, relacji z klientami i doświadczeń; dostarczanie protokołów kontroli w odniesieniu do zgody | (a) Dane techniczne (b) Dane dotyczące użytkowania | Niezbędne dla naszych uzasadnionych interesów (w celu definiowania rodzajów klientów dla naszych produktów i usług, aby nasza witryna internetowa była aktualna, aby rozwijać naszą działalność oraz opracowywać strategię marketingową) |
Sugestie i rekomendacje dotyczące towarów lub usług, które mogą zainteresować użytkownika | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane techniczne (d) Dane dotyczące użytkowania (e) Dane profilowe | Niezbędne dla naszych uzasadnionych interesów (aby rozwijać nasze produkty/usługi i działalność) |
Wypełnianie zobowiązań prawnych, w tym związanych ze stosownymi rządowymi postępowaniami przygotowawczymi, wezwaniami do sądu lub innymi postępowaniami prawnymi lub innych niezbędnych do zapobiegania szkodom fizycznym lub finansowym lub zapobiegania przestępstwom i oszustwom | (a) Dane tożsamości (b) Dane do kontaktu (c) Dane techniczne (d) Dane dotyczące użytkowania (e) Dane profilowe | (a) Niezbędne dla naszych uzasadnionych interesów (w celu ochrony naszej firmy, pracowników, klientów i społeczeństwa) (b) Niezbędne do wypełnienia obowiązku prawnego (c) Niezbędne do rozwiązywania sporów |
4.2 UJAWNIANIE INFORMACJI OSOBOM TRZECIM
Co do zasady nie udostępniamy klinicznych danych osobowych użytkownika żadnej firmie spoza CTM, z wyjątkiem naszych zaufanych klientów i usługodawców, jeśli jest to potrzebne do celów prowadzenia badań.
Możemy też udostępniać dane osobowe użytkownika osobom trzecim wymienionym poniżej do celów przedstawionych w tabeli w punkcie 4.1.
- Zewnętrzni podwykonawcy, którzy świadczą dla nas usługi lub pomagają w świadczeniu usług na rzecz użytkownika. W przypadku gdy korzystamy z usług podwykonawców, którzy mają dostęp do danych osobowych użytkownika, zapewniamy, że obowiązują surowe warunki umowne zapewniające, że przetwarzają oni dane osobowe tylko w zakresie, w jakim upoważnimy ich do tego na piśmie, i że we wszystkich takich umowach istnieją odpowiednio sformułowane klauzule poufności i ochrony danych.
- Podmioty zewnętrzne, którym możemy sprzedać lub przekazać część naszej działalności lub zasobów lub z którymi możemy się połączyć. Ewentualnie możemy też przejąć inne firmy lub się z nimi połączyć. Jeśli w naszej działalności zajdą takie zmiany, wówczas nowi właściciele będą mogli wykorzystywać dane osobowe użytkownika w sposób opisany w niniejszej polityce prywatności.
- Możemy ujawniać dane osobowe organom ścigania, organom rządowym lub w inny sposób w odpowiedzi na wezwania sądowe lub procesy zgodnie z wymogami obowiązującego prawa lub w okolicznościach związanych z możliwością powstania szkody fizycznej lub finansowej, oszustwa lub przestępstwa.
Od wszystkich podmiotów zewnętrznych wymagamy przestrzegania zasad bezpieczeństwa danych osobowych oraz postępowania z takimi danymi zgodnie z prawem. Nie zezwalamy podmiotom zewnętrznym będącym dostawcami usług na wykorzystywanie danych osobowych użytkownika do swoich własnych celów i mają one prawo do przetwarzania danych osobowych użytkownika wyłącznie w określonych celach i zgodnie z naszymi instrukcjami.
Nie sprzedajemy danych osobowych użytkownika żadnym podmiotom zewnętrznym. Wykorzystywanie i ujawnianie przez nas zdrowotnych danych osobowych umożliwiających identyfikację („PIHI”, ang. Personal Identifiable Health Information) jest ograniczone do minimalnej ilości danych osobowych potrzebnych do osiągnięcia zamierzonego celu konkretnego badania klinicznego i są one wykorzystywane w związku z działaniami w ramach badań przesiewowych poprzedzających badanie kliniczne. Obejmuje to wykorzystywanie kwestionariuszy, które zawierają tylko pytania natury zdrowotnej i medycznej, mające bezpośredni związek z danym badaniem klinicznym, jak określono w zatwierdzonych protokołach.
Co do zasady nie będziemy wykorzystywać danych PIHI ani ujawniać ich żadnym osobom trzecim, o ile nie uzyskamy na to wyraźnej zgody użytkownika.
W wyjątkowych przypadkach możemy ujawniać dane PIHI, gdy zobowiążą nas do tego odnośne przepisy lub rozporządzenia. W szczególności obejmuje to między innymi sytuacje, w których jesteśmy zobowiązani do ujawnienia takich danych PIHI na wniosek organów władzy państwowej, na przykład w celu spełnienia wymagań organów ścigania lub organów bezpieczeństwa. Obejmuje to wykorzystywanie lub ujawnianie danych, aby:
- zapobiegać chorobom, urazom lub niepełnosprawności lub kontrolować je;
- zgłaszać choroby, urazy lub niepełnosprawność;
- pomagać w nadzorze nad zdrowiem publicznym, postępowaniu przygotowawczym lub interwencjach;
- zgłaszać wykorzystywanie lub zaniedbywanie dzieci lub przemoc domową;
- zapobiegać poważnemu zagrożeniu dla osób fizycznych, zdrowia lub bezpieczeństwa publicznego;
- przekazać dane koronerom lub ekspertom medycyny sądowej lub w celu pobrania tkanek;
- odpowiadać na postępowania sądowe i odpowiednie orzeczenia sądowe lub wezwania;
- przekazywać je w związku z konkretnymi działaniami rządu i na rzecz odszkodowań dla pracowników;
- ujawniać je przez pracowników, którzy są demaskatorami lub ofiarami przestępstwa;
- gdy w dobrej wierze uważamy, że ujawnienie danych jest konieczne w celu ochrony naszych praw lub bezpieczeństwa użytkownika, bezpieczeństwa innych osób lub na potrzeby postępowania przygotowawczego w sprawie oszustwa.
4.3 REZYGNACJA
Użytkownik może w dowolnym momencie poprosić nas lub podmioty zewnętrzne o zaprzestanie wysyłania informacji/przypomnień, kontaktując się z nami.
Jeśli użytkownik zrezygnuje z otrzymywania informacji/przypomnień, nie będzie to miało zastosowania do danych osobowych przekazanych nam w wyniku zakupu produktu/usługi, rejestracji gwarancji, w związku z opinią na temat produktu/usługi lub innych transakcji.
4.4 PLIKI COOKIE
Pliki cookie wykorzystujemy wyłącznie do rejestrowania informacji o tym, które strony użytkownicy odwiedzają, do rejestrowania wcześniejszych działań oraz zarządzania sesjami i personalizacji ich. Korzystanie z plików cookie umożliwia lepszą obsługę odwiedzających, którzy powracają na naszą witrynę.
Użytkownik może zmienić ustawienia swojej przeglądarki w taki sposób, aby odrzucała wszystkie lub niektóre pliki cookie przeglądarki lub informowała, kiedy witryny internetowe ustawiają lub uzyskują dostęp do plików cookie. Należy mieć świadomość, że po wyłączeniu lub odrzuceniu plików cookie niektóre elementy tej witryny internetowej mogą stać się niedostępne lub działać nieprawidłowo.
4.4.1 Kontrolowanie plików cookie. Interaktywne oświadczenie CTM dotyczące plików cookie wyraźnie określa, w jaki sposób monitorowane jest zachowanie użytkownika, i oferuje łatwe w użyciu funkcje kontroli dotyczące udzielania i cofania zgody. Użytkownik ma kontrolę nad tym, aby pliki cookie nie były umieszczane na jego komputerze do czasu wyrażenia zgody przez działanie potwierdzające.
4.5 ZMIANA CELU
Będziemy wykorzystywać dane osobowe użytkownika wyłącznie do celów, dla których je zgromadziliśmy, o ile zasadnie nie uznamy, że musimy je wykorzystać w innym celu, który jest zgodny z pierwotnym celem.
Jeśli będziemy musieli wykorzystać dane osobowe użytkownika do niepowiązanego celu, powiadomimy o tym użytkownika i wyjaśnimy podstawę prawną, która nam na to pozwala.
Należy pamiętać, że możemy przetwarzać dane osobowe użytkownika bez jego wiedzy i zgody, zgodnie z powyższymi zasadami, jeżeli jest to wymagane lub dozwolone przez prawo.
4.6 WYKORZYSTYWANIE DANYCH ZDROWOTNYCH W STANACH ZJEDNOCZONYCH
Ustawa o przenośności i rozliczalności ubezpieczeń zdrowotnych z 1996 roku („HIPAA”, ang. Health Insurance Portability and Accountability Act) oraz późniejsze przepisy opublikowane przez Departament Zdrowia i Opieki Społecznej („DHHS”, ang. Department of Health and Human Services) nakładają ograniczenia na inne organizacje (podmioty objęte ustawą), które mogą być nimi objęte na mocy HIPAA w odniesieniu do relacji użytkownika z CTM. CTM, w ramach świadczenia usług call center w związku z rekrutacją uczestników na rzecz jednej z tych organizacji, może podlegać zobowiązaniu do przestrzegania niektórych aspektów HIPAA w odniesieniu do prowadzenia działalności badawczej z udziałem ludzi.
Mimo iż CTM nie jest podmiotem objętym ustawą zgodnie z definicją zawartą w przepisach HIPAA dotyczących prywatności, nasze zasady i procedury regulujące prawa uczestników badań do prywatności, zawarte w niniejszej polityce prywatności, są zgodne z tymi, które są wymagane przez HIPAA dla podmiotów objętych ustawą i będą normą dla działalności badawczej obejmującej dane PIHI.
Wszystkie dane PIHI zgromadzone przez CTM w związku z rekrutacją osób do badań klinicznych są rejestrowane elektronicznie i przesyłane przez bezpieczne połączenie sieciowe do bezpiecznej bazy danych. Zasady CTM w zakresie bezpieczeństwa danych są zgodne ze standardami Dobrej Praktyki Klinicznej, HIPAA i RODO. CTM ma osobne zasady bezpieczeństwa w celu zapewnienia bezpieczeństwa fizycznego, bezpieczeństwa sieci i bezpieczeństwa aplikacji.
5. PRZEKAZYWANIE DANYCH ZA GRANICĘ
Niektóre dane osobowe mogą być przechowywane na serwerach w USA. Obejmuje to przekazywanie danych użytkownika poza Europejski Obszar Gospodarczy („EOG”) lub Wielką Brytanię. Ponadto korzystamy z usług podmiotów zewnętrznych, których serwery informatyczne znajdują się w USA, i na których przechowywane są dane osobowe użytkownika. Użytkownik wyraża zgodę na przekazywanie danych osobowych do USA.
Przy każdorazowym przekazywaniu lub przetwarzaniu danych osobowych użytkownika poza EOG lub Wielką Brytanię dbamy o zapewnienie podobnego poziomu ich ochrony, korzystając ze specjalnych umów zatwierdzonych przez Komisję Europejską (lub brytyjskie biuro ICO), które zapewniają taką samą ochronę danych osobowych, jak w Europie.
6. BEZPIECZEŃSTWO DANYCH
Podjęliśmy wraz z zewnętrznymi partnerami świadczącymi usługi hostingu odpowiednie środki bezpieczeństwa, by zapobiec przypadkowej utracie danych osobowych, nieuprawnionemu ich wykorzystaniu, zmianie lub ujawnieniu bądź dostępowi do nich. Ponadto ograniczamy możliwości dostępu do danych osobowych do tych pracowników, przedstawicieli, podwykonawców i innych podmiotów zewnętrznych, dla których znajomość tych danych jest konieczna w celu prowadzenia działalności biznesowej. Będą oni przetwarzać dane osobowe użytkownika wyłącznie zgodnie z naszymi instrukcjami i będą podlegać obowiązkowi zachowania poufności.
Wdrożyliśmy również procedury na wypadek podejrzenia naruszenia bezpieczeństwa danych; w przypadkach, gdy wymagają tego od nas przepisy, zawiadomimy użytkownika oraz odpowiedni organ o podejrzeniu naruszeń.
7. PRZECHOWYWANIE DANYCH
Będziemy przechowywać dane osobowe użytkownika jedynie tak długo, jak będzie to konieczne do realizacji celów, dla których je zgromadziliśmy, w tym w celu spełnienia wszelkich wymogów prawnych, księgowych lub sprawozdawczych.
Przy ustalaniu odpowiedniego okresu przechowywania danych osobowych bierzemy pod uwagę ilość, charakter i wrażliwość danych osobowych, potencjalne ryzyko szkody związanej z nieuprawnionym wykorzystaniem danych osobowych, cele, dla których przetwarzamy dane osobowe, oraz to, czy jesteśmy w stanie je osiągnąć innymi środkami, a także odpowiednie wymogi prawne.
W niektórych okolicznościach na terenie EOG i Wielkiej Brytanii użytkownik może poprosić nas o usunięcie jego danych: więcej informacji znajduje się w części zatytułowanej „Prawa użytkownika do prywatności danych na mocy RODO i brytyjskich przepisów o ochronie prywatności”.
Możemy również anonimizować dane osobowe użytkownika (aby nie można ich było już z nim skojarzyć) w celach badawczych lub statystycznych, w którym to przypadku możemy korzystać z tych informacji bezterminowo bez dalszego powiadomienia.
8. PRAWA UŻYTKOWNIKA DO PRYWATNOŚCI DANYCH NA MOCY RODO I BRYTYJSKICH PRZEPISÓW O OCHRONIE PRYWATNOŚCI
W niektórych okolicznościach na terenie EOG i Wielkiej Brytanii przysługują użytkownikowi następujące, wynikające z przepisów o ochronie danych prawa dotyczące jego danych osobowych:
Żądanie dostępu do swoich danych osobowych (tzw. „wniosek osoby, której dane dotyczą, o dostęp”). Pozwala to uzyskać kopie danych osobowych użytkownika, które posiadamy, oraz sprawdzić, czy przetwarzamy je zgodnie z prawem.
Żądanie sprostowania danych osobowych, które przechowujemy. Umożliwia to zlecenie korekty wszelkich niekompletnych lub nieprawdziwych przechowywanych przez nas danych, które dotyczą użytkownika, chociaż być może będziemy musieli zweryfikować prawdziwość nowych danych, które użytkownik nam dostarczy.
Żądanie usunięcia danych osobowych. Umożliwia to użytkownikowi zażądanie, byśmy usunęli jego dane osobowe w sytuacji, gdy nie istnieje dobry powód dla ich przetwarzania. Użytkownik ma również prawo zażądać usunięcia swoich danych osobowych w przypadku, gdy z powodzeniem wyegzekwuje on swoje prawo do sprzeciwu wobec ich przetwarzania (patrz niżej); jeśli okaże się, że przetwarzaliśmy jego dane niezgodnie z prawem lub jeśli miejscowe przepisy prawa wymagają od nas usunięcia jego danych osobowych. Warto jednak mieć świadomość, że nie zawsze możemy mieć możliwość zastosowania się do żądania usunięcia danych z uzasadnionych przyczyn prawnych, o czym poinformujemy użytkownika, o ile zajdzie taka potrzeba, bezpośrednio po otrzymaniu żądania.
Sprzeciw wobec przetwarzania danych osobowych użytkownika, gdy kierujemy się naszym uzasadnionym interesem (lub interesem osób trzecich), a z konkretnej sytuacji danego użytkownika wynika kwestia, która sprawia, że chce on sprzeciwić się przetwarzaniu na tej podstawie, ponieważ uważa, że ma to wpływ na jego podstawowe prawa i wolności. Użytkownik ma również prawo sprzeciwić się przetwarzaniu jego danych osobowych w celach marketingu bezpośredniego. W niektórych przypadkach możemy wykazać, że mamy ważne uzasadnione podstawy do przetwarzania danych użytkownika, które to podstawy są nadrzędne wobec jego praw i wolności.
Żądanie ograniczenia przetwarzania danych osobowych. Umożliwia to użytkownikowi zażądanie od nas, abyśmy zawiesili przetwarzanie jego danych osobowych w następujących sytuacjach: (a) jeśli użytkownik chce, abyśmy sprawdzili poprawność danych; (b) jeśli wykorzystujemy dane w sposób niezgodny z prawem, ale użytkownik nie chce, byśmy je usunęli; (c) jeśli użytkownik chce, abyśmy przechowywali dane nawet po tym, jak nie będzie to już z naszego punktu widzenia wymagane, ponieważ użytkownik potrzebuje ich do wniesienia lub dochodzenia roszczeń prawnych lub do obrony przed roszczeniami; lub (d) jeśli użytkownik sprzeciwił się wykorzystywaniu swoich danych, a my musimy zweryfikować, czy nie ma nadrzędnych uzasadnionych podstaw dla ich dalszego wykorzystywania.
Żądanie przeniesienia danych osobowych na rzecz użytkownika lub podmiotu zewnętrznego. Przekażemy dane osobowe użytkownikowi lub wskazanemu przez niego podmiotowi zewnętrznemu w uporządkowanym, powszechnie stosowanym formacie nadającym się do odczytu maszynowego. Należy zwrócić uwagę, ze prawo to dotyczy wyłącznie zautomatyzowanych danych, na których wykorzystywanie przez nas użytkownik wyraził zgodę lub przypadków, gdy wykorzystywaliśmy te dane do realizacji zawartej z nim umowy.
Wycofanie swojej zgody w dowolnym momencie w sytuacjach, gdy przetwarzamy dane osobowe w oparciu o zgodę użytkownika. Jednak nie będzie to mieć wpływu na legalność przetwarzania danych przed wycofaniem zgody przez użytkownika. Jeśli użytkownik wycofa swoją zgodę, możemy nie być w stanie dłużej dostarczać mu pewnych produktów lub świadczyć pewnych usług. W takim przypadku poinformujemy o tym w momencie wycofywania zgody.
Jeśli użytkownik chce skorzystać z któregokolwiek z wyżej wymienionych praw, prosimy o kontakt.
Na terenie EOG użytkownik może w dowolnym momencie złożyć skargę do odnośnego krajowego organu nadzorczego. Na przykład w Wielkiej Brytanii jest to Biuro Komisarza ds. Informacji („ICO”), brytyjski organ nadzorczy do spraw ochrony danych (https://www.ico.org.uk/). Będziemy jednak wdzięczni za możliwość odniesienia się do wątpliwości przed skontaktowaniem się użytkownika z jednym z krajowych organów nadzorczych, dlatego w pierwszej kolejności prosimy o kontakt z nami.
Wykaz organów nadzorczych jest dostępny tutaj: https://ec.europa.eu/justice/data-protection/bodies/authorities/index_en.htm.
8.1 ZWYKLE BRAK WYMAGANEJ OPŁATY
Za uzyskanie dostępu do swoich danych osobowych (lub skorzystanie z pozostałych praw) użytkownik nie będzie musiał wnosić żadnej opłaty.
8.2 CZEGO MOŻEMY POTRZEBOWAĆ OD UŻYTKOWNIKA
Możemy potrzebować od użytkownika określonych informacji, które pomogą potwierdzić jego tożsamość i prawo dostępu do danych osobowych (lub inne jego prawa). Jest to środek bezpieczeństwa mający na celu zagwarantowanie, że dane osobowe nie zostaną ujawnione żadnej osobie, która nie ma prawa ich otrzymać. Możemy również skontaktować się z użytkownikiem w celu poproszenia o dodatkowe informacje dotyczące żądania, aby przyspieszyć naszą odpowiedź.
8.3 LIMIT CZASOWY NA ODPOWIEDŹ
Staramy się odpowiadać na wszelkie uzasadnione żądania w ciągu 30 dni roboczych. W wyjątkowych przypadkach może nam to zająć więcej niż 30 dni roboczych, jeśli żądanie okaże się bardzo złożone lub jeśli użytkownik wystosuje wiele żądań. W takiej sytuacji użytkownik otrzyma od nas stosowne powiadomienie i będziemy go na bieżąco informować o postępach.
9. PRAWA DO OCHRONY PRYWATNOŚCI DANYCH W STANIE KALIFORNIA
Mieszkańcy Kalifornii mają następujące prawa w odniesieniu do swoich danych osobowych:
- Prawo do informacji o tym, jakie dane osobowe zgromadziliśmy, wykorzystaliśmy, ujawniliśmy i sprzedaliśmy. Aby przesłać wniosek, należy się z nami skontaktować. Użytkownik może także wyznaczyć upoważnionego przedstawiciela do złożenia wniosku o dostęp w jego imieniu.
- Prawo do wnioskowania o usunięcie wszelkich danych osobowych zebranych na temat użytkownika. Aby przesłać wniosek o usunięcie danych, należy się z nami skontaktować. Użytkownik może także wyznaczyć upoważnionego przedstawiciela do złożenia wniosku o usunięcie danych w jego imieniu.
Gdy użytkownik skorzysta z tych praw i złoży stosowny wniosek, zweryfikujemy tożsamość użytkownika, prosząc go o podanie informacji, takich jak adres e-mail, numer telefonu lub dane konta użytkownika w naszym serwisie. Możemy również użyć zewnętrznego podmiotu w celu zweryfikowania tożsamości użytkownika. Należy pamiętać, że jesteśmy zobowiązani do honorowania takich wniosków tylko dwa razy w okresie 12 miesięcy.
Korzystanie z tych praw nie będzie miało negatywnego wpływu na cenę ani jakość naszych towarów lub usług.
W ciągu 12 miesięcy poprzedzających datę niniejszej polityki prywatności CTM nie sprzedała żadnych zgromadzonych danych osobowych użytkownika; nie ma też takich planów w przyszłości.
10. DEFINICJE
EOG i Wielka Brytania
Prawnie uzasadniony interes oznacza, na terenie EOG lub Wielkiej Brytanii, interes naszej firmy w prowadzeniu przedsiębiorstwa i zarządzaniu nim, tak abyśmy mogli zapewnić użytkownikowi jak najlepszą obsługę/produkt oraz najlepsze i najbezpieczniejsze opcje korzystania z usług. Zapewniamy, że weźmiemy pod uwagę i zrównoważymy każdy potencjalny wpływ na użytkownika (zarówno pozytywny, jak i negatywny) oraz prawa użytkownika, zanim przetworzymy jego dane osobowe dla naszych prawnie uzasadnionych interesów. Nie wykorzystujemy danych osobowych użytkownika do działań, w których nasze interesy są podrzędne wobec wpływu na użytkownika (o ile nie mamy zgody użytkownika lub nie jest to wymagane lub dozwolone przez prawo). Dodatkowe informacje na temat tego, w jaki sposób oceniamy nasze uzasadnione interesy pod kątem potencjalnego wpływu na użytkownika w odniesieniu do określonych działań można uzyskać, kontaktując się z nami.
Realizacja umowy oznacza przetwarzanie danych osobowych użytkownika w zakresie niezbędnym dla realizacji umowy, której jest stroną, lub dla podjęcia na jego prośbę określonych kroków przed zawarciem takiej umowy.
Przestrzeganie obowiązku wynikającego z przepisów prawa oznacza przetwarzanie danych osobowych użytkownika, kiedy jest to niezbędne, aby zastosować się do wynikającego z przepisów prawa obowiązku, któremu podlegamy.
RODO to ogólne rozporządzenie Unii Europejskiej o ochronie danych.
USA
Podmiot objęty ustawą oznacza instytucję, organizację lub inny podmiot, który podlega przepisom Ustawy o przenośności i rozliczalności ubezpieczeń zdrowotnych z 1996 r. („HIPAA”). Podmioty objęte ustawą to między innymi: (i) plan opieki zdrowotnej, (ii) instytucja rozrachunkowa ubezpieczycieli medycznych oraz (iii) świadczeniodawca, który przesyła dane osobowe umożliwiające identyfikację w formie elektronicznej w związku z transakcją objętą HIPAA.
Dane osobowe umożliwiające ustalenie tożsamości („PIHI”, ang. Personal Identifiable Health Information) oznaczają wszelkie informacje, w tym dane demograficzne zebrane od osoby, które:
- odnoszą się do (a) byłego, obecnego lub przyszłego zdrowia fizycznego lub psychicznego lub stanu osoby; (b) zapewnienia opieki zdrowotnej osobie fizycznej; lub (c) przeszłych, obecnych lub przyszłych płatności z tytułu świadczenia opieki zdrowotnej na rzecz danej osoby; oraz
- identyfikują daną osobę lub istnieje uzasadniona podstawa, by sądzić, że można je wykorzystać do identyfikacji tej osoby; oraz
- nie obejmują dokumentacji edukacyjnej ani dokumentacji medycznej objętej Ustawą o prawach do edukacji i prywatności w rodzinie ani dokumentacji zatrudnienia przechowywanej przez CTM jako pracodawcę.
KALIFORNIA
Dane osobowe oznaczają wszelkie informacje, które identyfikują konkretnego konsumenta lub gospodarstwo domowe, odnoszą się go niego lub je opisują, lub mogą być w uzasadniony sposób lub racjonalnie z nim powiązane bezpośrednio lub pośrednio.
KAŻDA JURYSDYKCJA
Podmioty zewnętrzne to:
- Usługodawcy działający jako podmioty przetwarzające i świadczące usługi na naszą rzecz.
- Profesjonalni doradcy przetwarzający dane lub pełniący funkcję współadministratorów danych, w tym prawnicy, bankierzy, audytorzy oraz ubezpieczyciele, świadczący na naszą rzecz usługi konsultingowe, bankowe, prawne, ubezpieczeniowe i księgowe.
- Organy regulacyjne i inne organy państwowe działające jako podmioty przetwarzające lub pełniące funkcję współadministratorów danych w dowolnej jurysdykcji, w której działamy, i które w niektórych okolicznościach wymagają zgłoszenia działań związanych z przetwarzaniem.